Könnten Cyberkriminelle Ihren Flugplan manipulieren?
Die Sommerreisewelle ist in vollem Gange — trotz eines nach wie vor ausgedünnten Flugangebots sowie zahlreicher Verspätungen und Stornierungen. Während sich lange Schlangen beim Sicherheitscheck nicht vermeiden lassen und auch schlechtes Wetter oder Pilotenmangel außerhalb Ihres Einflussbereichs liegen, gibt es etwas, das Sie sehr wohl beeinflussen können: Ihre digitale Sicherheit.
Angesichts steigender Ticketpreise ist es für Reisende umso wichtiger, sicherzustellen, dass ihre Flugbuchung vor etwaigen Manipulationen geschützt ist. Auch möchten sie darauf vertrauen können, dass ihre persönlichen Daten bei Fluggesellschaften oder Buchungs-Apps von Drittanbietern sicher sind.
Ist Ihre Buchung sicher?
Ein Freund von mir hat kürzlich einen Flug gebucht, um mich zu besuchen. Bis dahin hatten wir die Preise, die von „Auf gar keinen Fall“ bis „Immer noch zu teuer, aber das muss irgendwie gehen“ schwankten, bereits eine ganze Weile beobachtet. Nachdem er sich schließlich zum Kauf eines Tickets durchgerungen hatte, folgte bereits am nächsten Tag die große Ernüchterung: Der Preis war zwischenzeitlich stark gefallen.
Da meinem Freund die Zeit fehlte, um den Flug in Ruhe zu stornieren und zu einem günstigeren Preis neu zu buchen, bot ich ihm an, seinen Flug – sofern möglich – direkt über die Airline-App zu stornieren. Dazu waren zwei Informationen erforderlich: seine Bestätigungsnummer, die in dem Screenshot, den er mir per E-Mail gesendet hatte, enthalten war, sowie sein Nachname. Ich gab die Informationen also ein und sein Flug wurde umgehend storniert.
Dadurch kam bei mir der Gedanke auf, ob Cyberkriminelle wohl dasselbe erreichen könnten, und falls ja, welche Motivation dahinter stecken könnte.
Mit Ihrem Bestätigungscode verknüpfte Informationen
Ihr Bestätigungscode ist in der Regel eine zufällig generierte sechsstellige Zeichenfolge aus Buchstaben oder Zahlen und identifiziert Sie eindeutig als Passagier. Bestätigungscodes sind erforderlich, um einen gebuchten Flug ändern zu können. Genauso wie der Barcode auf Ihrer Bordkarte ist dieser Code mit personenbezogenen Daten wie Ihren Kontaktdaten, Ihrer Vielfliegernummer, Ihren Reisepassdaten und gegebenenfalls Ihren Führerscheindaten verknüpft.
Daher ist es wichtig, die Bestätigungsnummer so gut wie möglich vor fremden Blicken zu schützen. Posten Sie niemals ein Foto Ihrer Bordkarte in den sozialen Medien und sehen Sie davon ab, die ausgedruckte Bordkarte in einem Flughafenmülleimer zu entsorgen. So musste die US-Fluggesellschaft United Airlines Kunden beispielsweise daran erinnern, ihre persönlichen Daten auf Twitter zu löschen, als diese sich wegen einer Rückerstattung an United wandten.
Ein Passwort-Manager, der Funktionen wie sichere Notizen und sichere Dateispeicherung bietet, gewährleistet, dass Sie diese Codes an einem sicheren Ort speichern können. Mit der 2-Faktor-Authentifizierung können Sie sämtliche E-Mails und Konten durch eine zusätzliche Sicherheitsebene schützen.
Wie Cyberkriminelle Fluginformationen per Telefon manipulieren
2019 hat die White-Hat-Hackerin Rachel Tobac dem CNN-Reporter Donnie O’Sullivan gezeigt, wie einfach es ist, Fluginformationen zu stehlen und zu manipulieren. Zu diesem Zweck entnahm sie Informationen aus den Social-Media-Beiträgen des Reporters. Dieser hatte während eines Urlaubs Tweets an eine Fluggesellschaft und ein Hotel gesendet. Dadurch hatte Tobac sämtliche Informationen, die sie benötigte, um sich am Telefon als O’Sullivan auszugeben (natürlich mithilfe eines Stimmverzerrers), die Hotelpunkte des Reporters dem eigenen Konto gutschreiben zu lassen und ihm während des Flugs einen Mittelplatz zuzuweisen –ganz ohne Zugriff auf sein E-Mail-Postfach oder sein Passwort.
Die Standardverifizierungsfragen der Fluggesellschaften reichen möglicherweise nicht aus, um raffinierten Hackern einen Strich durch die Rechnung zu machen. Um nicht selbst zum Opfer zu werden, empfiehlt O’Sullivan, das eigene Konto durch zusätzliche Sicherheitsmechanismen zu schützen. Dies kann beispielsweise ein Verifizierungscode sein, den die Fluggesellschaft an Ihr Gerät sendet, während Sie mit einem Mitarbeiter telefonieren. Zwar bieten nicht alle Unternehmen diese Option an, aber Fragen kostet bekanntlich nichts.
Buchung über Drittanbieter-Apps
Apps wie Kayak und Hopper aggregieren Daten, um Kunden eine Reihe von Optionen bei verschiedenen Fluglinien anzuzeigen. Beide Buchungsportale verfügen über Datenschutzrichtlinien, die Benutzerdaten schützen und Kunden ermöglichen, der Weitergabe oder dem Verkauf ihrer Daten zu widersprechen.
Genauso wie Airline-Apps erfassen auch Drittanbieter-Apps persönliche Daten, wobei Hopper Ihre Telefonnummer beispielsweise für die Anmeldung bei Ihrem Konto verwendet und einen Authentifizierungscode an Ihr Gerät sendet. Dadurch ist eine zusätzliche Sicherheitsebene gegeben.
Drittanbieter-Apps rufen Preisinformationen von verschiedenen Websites ab. So hat Kayak Kunden beispielsweise auf die Buchungswebsite Tripmonster weitergeleitet, welche erschreckend negative Bewertungen auf Trustpilot für fehlenden Kundenservice und ausbleibende Entschädigungen bei Flugstornierungen erhalten hat.
Was lernen wir daraus? Achten Sie darauf, dass die Unternehmen, die an der Buchung Ihres Flugs beteiligt sind und die Zugriff auf Ihre persönlichen Daten haben, vertrauenswürdig sind.
So schützen Sie sich vor Phishing-Betrug
Ein weiterer Aspekt, vor dem sich Kunden von Fluggesellschaften in Acht nehmen sollten, ist Phishing-Betrug im Zusammenhang mit Rückerstattungen. Diese Art von Phishing verzeichnete 2020 eine merkliche Zunahme, da Hacker sich die häufigen Flugstornierungen und damit zusammenhängenden Rückerstattungsansprüche zunutze machten. Cyberkriminelle verfügen über Tools, die Websites (einschließlich Social-Media-Plattformen) nach Bestätigungsnummern durchforsten (sog. „Scraping“). Diese Nummern werden häufig im Dark Web zum Verkauf angeboten und können zu betrügerischen Zwecken eingesetzt werden. Dieses Social-Engineering-Verfahren ist so weit verbreitet, dass Hopper auf seinen Websites vor Rückerstattungs-Scams warnt. Kunden wird dringend empfohlen, E-Mails, die angeblich von Hopper stammen, nochmals zu prüfen. Außerdem weist das Unternehmen darauf hin, dass seine Kundendienstmitarbeiter Kunden niemals nach ihrer Kreditkartennummer fragen werden, um Rückerstattungen zu bearbeiten.
Sie interessieren sich für weitere Reisetipps, die Ihnen dabei helfen, einen sicheren Urlaub zu verbringen? Dann sehen Sie sich am besten unsere Liste der fünf Cybersicherheits-Grundlagen für Reisende an.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
Vielen Dank! Sie sind abonniert. Halten Sie Ausschau nach Updates direkt in Ihrem Posteingang.
